HanDs
NO.2

[7月漏洞公开] 中青旅旗下遨游网某站设计缺陷导致大量敏感信息泄漏(订单/会员编号/姓名/手机号/身份证号/邮箱/住址) 





学习中请遵循国家相关法律法规,黑客不作恶。没有网络安全就没有国家安全

本站需要登陆后才能查看

中青旅控股股份有限公司(简称中青旅)是以共青团中央直属企业中国青旅集团公司为主发起人,通过募集方式设立的股份有限公司,1997年11月26日公司创立,12月3日公司股票在上海证券交易所上市,是我国旅行社行业首家A股上市公司(股票代码:600138)、北京市首批5A级旅行社,现有总股本4.1535亿元。

详细说明:

http://erp.aoyou.com:8060/login 该站验证码设计存在缺陷导致可以暴力破解用户密码;

已破解成

mask 区域
*****密码�*****
*****ode*****
***** 302 fals*****
*****56 302 fals*****
*****3456 302 fa*****
*****302 false *****
*****3456 302 fa*****
*****302 false *****
*****3456 302 fa*****
*****302 false *****
*****56 302 fals*****
*****456 302 fals*****
***** 302 false*****
***** 302 false*****
*****3456 302 fa*****
*****456 302 fals*****
*****456 302 fals*****
*****23456 302 f*****



</code>

非注册会员、潜在会员、普通会员、铜牌会员、金牌会员共计:831042

QQ图片20151030203843.jpg



QQ图片20151030203949.png



QQ图片20151030204130.jpg



QQ图片20151030204350.png



QQ图片20151030204451.jpg



QQ图片20151030204614.jpg



QQ图片20151030204707.jpg



QQ图片20151030204800.png



QQ图片20151030205240.png



QQ图片20151030205551.jpg



QQ图片20151030205724.jpg

漏洞证明:

通过http://erp.aoyou.com:8060/login可修改会员的密码,然后可登录www.aoyou.com 网站;如图:

QQ图片20151030211004.jpg



QQ图片20151030211312.jpg

修复方案:

杜绝弱口令,重新设计验证码;


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
中青
#1楼
发帖时间:2016-7-6   |   查看数:0   |   回复数:0
游客组